MENU Zavrieť

Aké sú riziká digitalizácie?

  • Milan Vodička
  • 16.7.2021
  • 6 minút čítania

Presun spoločnosti do digitálneho prostredia má okrem nesporných kladov aj druhú, menej príjemnú stránku. Tou je existencia rizík vyplývajúcich z činnosti tzv. hackerov (presnejší termín by bol crackerov), ktorí neoprávnene prenikajú do počítačových systémov. Ciele bývajú rôzne, často sú ale spojené so získaním finančného prospechu pre narušiteľa a tým naopak so vznikom škody na strane napadnutého.

Vzostupný trend hackerských útokov nabral ešte viac na sile počas obdobia opatrení proti šíreniu ochorenia SARS-Cov-2 alebo Covid 19, kedy sa do digitálneho prostredia presunul celý rad procesov aj subjektov, ktoré v elektronickej podobe neexistovali alebo nie v takej miere.

Kybernetická kriminalita sa samozrejme nevyhýba ani Slovenskej republike. Podľa údajov, ktoré nám poskytlo Ministerstvo vnútra SR, bolo v roku 2021 zistených 349 trestných činov súvisiacich s počítačovou kriminalitou (objasnených bolo 135).

Z pohľadu účinkov možno kybernetické incidenty rozdeliť do dvoch skupín. Buď dochádza k odcudzeniu údajov, na čo útočníci s obľubou používajú stále najúspešnejšiu formu útoku, tzv. phishing, alebo je dôsledkom úspešného útoku nedostupnosť údajov, ktorá ohrozuje či obmedzuje riadny chod firmy alebo inštitúcie.

Strata údajov alebo ich zneužitie

Ide o situácie, kedy sa zneužiteľné údaje dostanú do nepovolaných rúk, a vďaka tomu môžu slúžiť ako nástroj na obohatenie alebo na vydieranie, prípadne sú exemplárne zverejnené, niekedy aj s uvedením zdroja, z ktorého unikli. Odstrašujúce príklady verejnej kompromitácie citlivých údajov slúžia ako PR hackerskej činnosti a účinne napomáhajú presvedčiť prípadné budúce obete, že to útočník myslí vážne.

Častým cieľom bývajú údaje týkajúce sa platobných prostriedkov, ktoré možno využiť k okamžitému obohateniu sa, ale cenené sú aj prihlasovacie údaje, heslá, e-mailové adresy, telefónne čísla a ďalšie.

Prelomené zabezpečenie

Pokiaľ sa k prostriedkom počítačovej techniky dostane nepovolaná osoba (či už v mieste fyzického uloženia alebo vzdialene), pokúsi sa prejsť cez zabezpečenie v podobe hesiel, kódov, PINov a pod. Pokiaľ je také zabezpečenie nedostatočné, alebo celkom chýba, dôjde k prieniku do systémov, kam by nemal byť umožnený prístup nepovolaným a následkom môže byť odcudzenie citlivých údajov alebo ich zneužitie.

Na zabezpečenie hardwaru a softwaru je dnes možné využívať celý rad metód, vrátane napr. biometrických, ale stále je veľmi častou kombinácia prihlasovacieho mena (alebo e-mailovej adresy) a hesla.

Rebríčku najčastejších hrozieb, s ktorými boli konfrontovaní používatelia zo Slovenskej republiky v roku 2021, kraľuje šírenie tzv. ransomware. Ransomware je škodlivý program (trójsky kôň alebo červ), ktorý zamedzí prístup k údajom alebo k počítačovému systému. Niekedy pritom použije kryptografické metódy a údaje zašifruje. Opätovné sprístupnenie je viazané na zaplatenie výkupného, obľúbenou menou býva bitcoin alebo iná podobná kryptomena. S týmto typom útokov je možné stretnúť sa aj v Slovenskej republike (nemocnice, advokátske kancelárie a ďalšie).

Začiatkom mája 2021 bola nadnárodná spoločnosť Brenntag donútená zaplatiť v bitcoinoch čiastku, ktorá bola ekvivalentom 4,4 miliónov USD. Až potom došlo k odblokovaniu zariadení zaisťujúcich prevádzku tohto veľkého chemického distribútora na území Spojených štátov.

Obrana je zjavná – prílohy e-mailov, predovšetkým od neznámych odosielateľov, je nutné vnímať ako rizikové. Pokiaľ si nie ste istí, o čo sa jedná, určite sa vyplatí neklikať na ne a nesnažiť sa ich otvoriť. Aj bežná prax ukladania hesiel do prehliadača síce zrýchľuje proces prihlasovania, ale súčasne vytvára zdroj cenných údajov pre podobných útočníkov. Lepším nástrojom sú určite softwaroví správcovia hesiel, ktorí používajú vysoko bezpečné spôsoby šifrovania a ukladania údajov. Sú dostupní v rôznych cenových reláciách, niektorí dokonca bezplatne, buď na obmedzené použitie (limitovaný je počet zariadení a/alebo hesiel), či celkom zadarmo ako freeware. Naviac heslá, ktoré títo softwaroví pomocníci generujú, sú naozaj vysoko bezpečné a ťažko prelomiteľné, na rozdiel od tých, ktoré si často ukladajú samotní používatelia (z hľadiska frekvencie stále vedú neuspokojivé heslá typu 123456 alebo password).

Strata zariadenia

Prostriedok výpočtovej techniky (notebook, mobilný telefón, tablet, ale tiež aj zálohovací flashdisk) môže byť stratený, zabudnutý alebo ukradnutý. Vďaka tomu sa k nemu dostanú nepovolané osoby a hrozí zneužitie údajov, ktoré sa na zariadení nachádzali. Výšku rizika, teda či k tomu naozaj dôjde, významne ovplyvňuje úroveň zabezpečenia hardwaru, vrátane napr. toho, či je využitá možnosť šifrovania všetkých uložených údajov, čo je dnes už štandardnou funkciou systému Windows alebo je možné použiť niektorý z dostupných nástrojov (BitLocker a pod.).

Za stratu osobných údajov vojenských veteránov Spojených štátov, vrátane dátumu narodenia a čísla sociálneho poistenia, muselo byť vyplatené odškodnenie vo výške stoviek miliónov dolárov. Príčinou bola krádež laptopu, na ktorom boli údaje uložené, a ktorý mal u seba doma jeden zo zamestnancov vojenskej správy.

Riziká komunikácie

Pokiaľ sa útočníkovi podarí odcudziť prihlasovacie údaje v podobe e-mailovej adresy a hesla, ktoré boli uložené napr. v diskusnom fóre, e-shope alebo na niektorej sociálnej sieti, často je jeho prvou ďalšou aktivitou pokus preniknúť do e-mailovej schránky s využitím rovnakého hesla. Úroveň zabezpečenia prihlasovacích údajov používateľov je pritom u rôznych poskytovateľov značne rozdielna a mať na internete jedno univerzálne heslo pro všetky príležitosti patrí k vysoko rizikovému správaniu.

Úspešné preniknutie do schránky elektronickej pošty vedie nie len k získaniu informácií uložených v správach, ale tiež všetkých kontaktov z adresára a možnosti rozosielať e-maily pod vaším menom. Snaha zneužiť elektronickú poštu ale môže prebiehať aj iným spôsobom, založeným na simulácii firemnej komunikácie s využitím dostupných informácií z webových stránok a sociálnych sietí.

V jednej českej spoločnosti, ktorá sa zaoberá ochranou elektronickej komunikácie pred spamami a škodlivými kódmi sa v apríli 2020 objavil e-mail obsahujúci reálne vyzerajúcu vnútrofiremnú komunikáciu medzi reklamačným oddelením, účtovnou kanceláriou a jedným z dodávateľov. K e-mailu bola priložená faktúra s výzvou k preplateniu. Že ide o podvod založený na úspešnom prelomení poštovného serveru, bolo zistené len vďaka skúsenosti a obozretnosti používateľov a tiež varovnému upozorneniu systému, že predmetný e-mail bol odoslaný z veľmi neobvyklej destinácie, konkrétne z Brazílie.

Pokiaľ ste presvedčení, že sa vás kompromitácia prihlasovacích údajov netýka, vyskúšajte si to overiť na stránke haveibeenpwned.com, kde po zadaní e-mailovej adresy zistíte, či a koľkokrát došlo k úspešnému útoku na webové úložisko niektorého z poskytovateľov a či medzi odcudzenými údajmi figuruje aj vaša e-mailová adresa a heslo. Možno budete nemilo prekvapení, koľkokrát už k tomu došlo, a to pritom ide o výpis z evidencie len tých incidentov, ktoré boli riadne nahlásené.

Prelomenie ochrany dátového úložiska

Zálohovanie je pre oblasť IT nevyhnutnou rutinou, vykonávanou pokiaľ možno pravidelne a dostatočne často. Také úložiská obsahujúce cenné údaje sa potom môžu stať cieľom útoku, a to ako v prípade, kedy ide o systémy pod vlastnou správou (zálohovací server alebo zariadenie v sieti, data storage), tak aj pod správou externého subjektu (cloudové služby, externé archivácie na objednávku).

S tým, ako do praxe prenikajú stále častejšie cloudové riešenia využívané aj malými a strednými subjektmi, rastú trendy nežiadúcich aktivít narušiteľov, ktorí sa zameriavajú nie len na samotné úložiská, ale aj na nástroje na ich správu a udržiavanie. Motivácia je prevažne finančná (80 % prípadov), vylúčiť ale nemožno ani priemyselnú špionáž (v 8 % prípadov).

Stratu osobných údajov viac ako 46 000 klientov musela priznať aj nadnárodná spoločnosť Zürich Insurance. Došlo k tomu behom prenosu údajov zo zálohovacieho zariadenia do vzdialeného úložiska umiesteného v Juhoafrickej republike.

Je tiež nutné uvedomiť si, že aj keď zveríte starostlivosť o zálohovanie a uloženie údajov externému subjektu, nijako to z vás nesníma zodpovednosť za ich ochranu, resp. za prípadné následky pri neoprávnenom prístupe k dátam povahy osobných údajov (GDPR) alebo obchodného tajomstva a pod.

Nedostupnosť údajov

Cieľom útoku nemusí byť nutne odcudzenie alebo zneužitie údajov, môže ísť aj o snahu spôsobiť ich nedostupnosť. Práve tieto nepríjemné riziká sa stali vysoko aktuálnymi vďaka stúpajúcej početnosti ransomware a DDoS útokov.

Útok typu DDoS (distributed denial of service) je postavený na zahltení a tým zablokovaní serveru zasielaním obrovského množstva požiadaviek alebo ich zámernou chybovosťou, vďaka čomu sa server stane nedostupným.

Medzi najväčšie oznámené útoky typu DDoS patrí napadnutie infraštruktúry spoločnosti Google v roku 2017, pri ktorom boli servery bombardované obrovským množstvom požiadaviek (packetov) dosahujúcim intenzitu 167 miliónov za sekundu. Podobne masívny bol útok na servery Amazonu začiatkom roku 2020.

Aj u nás sa objavilo spojenie DDoS útokov s vymáhaním výpalného, ktoré je požadované ako podmienka, že sa útok nebude v budúcnosti opakovať s vyššou intenzitou. Formu nátlaku predstavuje aj nezvratné zmazanie alebo zničenie údajov, ktoré môže byť uskutočnené na dôkaz toho, že útočníci sú schopní prelomiť obranu napadnutých systémov, a že neváhajú také útoky vykonať.

Bezpečnostné štandardy

Rýchlosť prechodu do digitálneho sveta bola umocnená opatreniami, ktoré nútili celý rad subjektov k obmedzeniu kontaktov a k využívaniu elektronických prostriedkov práce a komunikácie. Súčasne s tým sa ale tiež zintenzívnili nežiadúce sprievodné aktivity popísané vyššie. Nemožno očakávať, že by malo dôjsť k nejakému razantnému zlepšeniu, a je preto nevyhnutné dodržiavať pravidlá, ktoré znižujú riziko, že sa staneme obeťou úspešného útoku na vaše zariadenia, systémy alebo údaje.

Bezpečnostné štandardy existujú, zahŕňajú napr. pravidlá na tvorbu a nakladanie s heslami a prístupovými údajmi, zaobchádzanie s hardwarom, pravidlá komunikácie, spôsoby inštalácie programov a mnoho ďalších. Je odporúčané sa s nimi zoznámiť, a hlavne ich následne uviesť do praxe.

Podobné články